Trojaner-Board - Merkwürdige Verhaltung vom PC ?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Merkwürdige Verhaltung vom PC ? (https://www.trojaner-board.de/176016-merkwuerdige-verhaltung-pc.html)

Merkwürdige Verhaltung vom PC ?

Hejo, bin der Multiblub und bin seit heute neu hier und das hier wird mein First Thread.

Habe seit ein paar Wochen ein Problem und zwar, wenn ich mehrere Sachen am PCs offen habe (Internet Browser, Ts3, Steam und Excel/Word etc. oder Spiele) dann minimiert sich diverse Sachen von selbst und öffnet die Sachen, die minimiert sind. (Heute früh war es noch extravaganter, als ich um 03:00 Eve Online spielte und das Spiel plötzlich minimiert wurde und hatte zu diesem Zeitpunkt nur ts3, Firefox „YouTube wegen Musik“ im Hintergrund offen) Ich habe keine Ahnung was das sein könnte, aber es nervt mit der Zeit.

Ich habe das Gefühl, als würde mein PC, durch irgendwas gestört (heimlicher Remote) aber das kann ich mir so nicht vorstellen. Habe das Problem seit längerem auch wenn ich vor 2-3 Wochen mein PC neuformatieren musste...

Ich habe auch zu diesem Problem, vorher in Computer Base geschrieben und die Leute dort meinten, ich sollte lieber das im (Trojaner-board) berichten/schreiben, da ich hier richtig wäre, wenn es um hartnäckige Probleme geht.

Mein Name ist Rafael und ich werde dir bei der Bereinigung helfen.

Damit ich dir optimal helfen kann, halte dich bitte an folgende Regeln:

Bitte lies meine Posts komplett durch bevor du sie abarbeitest
Wenn ein Problem auftauchen sollte oder dir etwas unklar ist, unterbreche deine Arbeit und beschreibe es so genau wie möglich.
Bitte kein Crossposting
Installiere oder Deinstalliere keine Software ohne Aufforderung
Bitte verwende nur die Tools, welche hier im Thread erwähnt werden und führe sie nur gemäß Anweisung aus
Bitte antworte innerhalb von 24h um eine sinnvolle Bereinigung zu ermöglichen
Poste die Logs immer in CODE-Tags (#-Button), zur Not die Logs einfach aufteilen
Wichtig: Nur weil dein Problem mit einem Schritt plötzlich behoben ist, bedeutet das nicht, dass dein PC auch sauber ist. Mache solange weiter, bis ich dir sage, dass dein PC "clean" ist

Los geht's :abklatsch:

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

hxxp://www.trojaner-board.de/attachment.php?attachmentid=77574&stc=1&d=1455587580

Schritt 1,
http://filepony.de/icon/tiny/malware...ti_malware.png Starte bitte wieder Malwarebytes Anti-Malware

Klicke auf die Einstellungen / Erkennung und Schutz und setze dabei den Haken bei "Nach Rootkits suchen"
Klicke im Anschluss auf Dashboard und klicke unter dem Punkt Datenbankversion auf "Jetzt aktualisieren"
Wechsle zum Reiter Scannen und wähle den Bedrohungssuchlauf aus und klicke im Anschluss auf Suchlauf starten
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Suchlaufprotokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Bitte poste dein Ergebnis zwischen Code-Tags
Wenn ein Log zu lange ist, teile ihn bitte auf mehrere Antworten.

Code-Tags?

Drücke einfach die # in Antwortfenster und füge den Log dazwischen ein

http://www.trojaner-board.de/members...picture307.png

Code:



Malwarebytes Anti-Malware

www.malwarebytes.org
 

Suchlaufdatum: 16.02.2016

Suchlaufzeit: 15:17

Protokolldatei: Malwarebytes log.txt

Administrator: Ja
 

Version: 2.2.0.1024

Malware-Datenbank: v2016.02.16.03

Rootkit-Datenbank: v2016.02.08.01

Lizenz: Testversion

Malware-Schutz: Aktiviert

Schutz vor bösartigen Websites: Aktiviert

Selbstschutz: Deaktiviert
 

Betriebssystem: Windows 8.1

CPU: x64

Dateisystem: NTFS

Benutzer: Cem
 

Suchlauftyp: Bedrohungssuchlauf

Ergebnis: Abgeschlossen

Durchsuchte Objekte: 346053

Abgelaufene Zeit: 4 Min., 17 Sek.
 

Speicher: Aktiviert

Start: Aktiviert

Dateisystem: Aktiviert

Archive: Aktiviert

Rootkits: Aktiviert

Heuristik: Aktiviert

PUP: Aktiviert

PUM: Aktiviert
 

Prozesse: 0

(keine bösartigen Elemente erkannt)
 

Module: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsschlüssel: 0

(keine bösartigen Elemente erkannt)
 

Registrierungswerte: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsdaten: 0

(keine bösartigen Elemente erkannt)
 

Ordner: 0

(keine bösartigen Elemente erkannt)
 

Dateien: 0

(keine bösartigen Elemente erkannt)
 

Physische Sektoren: 0

(keine bösartigen Elemente erkannt)
 
 

(end)

Schritt 1

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hinweis: Dieser Scan kann schon einmal mehrere Stunden dauern...

Schritt2
Bitte starte wieder FRST, setze den Haken bei Addition und drücke auf Untersuchen. Poste bitte wieder die beiden Textdateien, die so entstehen.

Habe alles schritt für schritt verfolgt, aber nach dem Abschnitt „Fertig stellen“ crasht das programm
hxxp://www.trojaner-board.de/attachment.php?attachmentid=77591&stc=1&d=1455662516

hm ungewöhnlich.

Versuchen wir das hier ;)

Downloade Dir HitmanProhttp://deeprybka.trojaner-board.de/b.../hitmanpro.pngauf Deinen Desktop:

HitmanPro-32 Bit Version
HitmanPro-64 Bit Version

Starte die HitmanPro.exe
Klicke auf
http://deeprybka.trojaner-board.de/b...ro/hitman1.PNG
Entferne den Haken bei
http://deeprybka.trojaner-board.de/b...ro/hitman2.PNG
Klicke auf
http://deeprybka.trojaner-board.de/b...ro/hitman3.PNG und http://deeprybka.trojaner-board.de/b...ro/hitman4.PNG
Akzeptiere die Lizenzbedingungen und klicke auf http://deeprybka.trojaner-board.de/b...ro/hitman4.PNG
Klicke auf
http://deeprybka.trojaner-board.de/b...ro/hitman5.PNG
und auf http://deeprybka.trojaner-board.de/b...ro/hitman4.PNG
Wenn der Scan beendet wurde, nichts löschen lassen etc. sondern wähle unten links auf der Button-Leiste
http://deeprybka.trojaner-board.de/b...ro/hitman6.PNGund speichere die Logdatei auf Deinem Desktop.
Schließe HitmanPro und poste mir das Log.

Code:

HitmanPro 3.7.12.256

www.hitmanpro.com
 

   Computer name . . . . : MULTIBLUB

   Windows . . . . . . . : 6.3.0.9600.X64/8

   User name . . . . . . : MULTIBLUB\Cem

   UAC . . . . . . . . . : Enabled

   License . . . . . . . : Free
 

   Scan date . . . . . . : 2016-02-17 16:43:39

   Scan mode . . . . . . : Normal

   Scan duration . . . . : 46s

   Disk access mode  . . : Direct disk access (SRB)

   Cloud . . . . . . . . : Internet

   Reboot  . . . . . . . : No
 

   Threats . . . . . . . : 0

   Traces  . . . . . . . : 3
 

   Objects scanned . . . : 1*708*137

   Files scanned . . . . : 23*674

   Remnants scanned  . . : 407*747 files / 1*276*716 keys
 

Suspicious files ____________________________________________________________
 

   C:\Users\Cem\Downloads\FRST64.exe

      Size . . . . . . . : 2*370*560 bytes

      Age  . . . . . . . : 1.6 days (2016-02-16 02:39:10)

      Entropy  . . . . . : 7.6

      SHA-256  . . . . . : 0303923E42228B428835250FD5602A6BC77387CB9A6CECF839673B9176D6B4F2

      Needs elevation  . : Yes

      Fuzzy  . . . . . . : 24.0

         Program has no publisher information but prompts the user for permission elevation.

         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.

         Authors name is missing in version info. This is not common to most programs.

         Version control is missing. This file is probably created by an individual. This is not typical for most programs.

         Time indicates that the file appeared recently on this computer.
 

   C:\Windows\SysWOW64\GameMon.des

      Size . . . . . . . : 3*916*368 bytes

      Age  . . . . . . . : 22.7 days (2016-01-26 00:42:39)

      Entropy  . . . . . : 8.0

      SHA-256  . . . . . : C2FA0CBBF038F74F8A30F86E289C09D488A36285BF6BBD45CD44C855F6696B1B

      Product  . . . . . : nProtect Game Monitor

      Publisher  . . . . : INCA Internet Co., Ltd.

      Description  . . . : nProtect Game Monitor Rev 2368

      Version  . . . . . : 2016.1.10.1

      RSA Key Size . . . : 2048

      Service  . . . . . : npggsvc

      LanguageID . . . . : 1042

      Authenticode . . . : Valid

      Fuzzy  . . . . . . : 25.0

         The file name extension of this program is not common.

         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.

         The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.

         Starts automatically as a service during system bootup.

         Program is code signed with a valid Authenticode certificate.

      Startup

         HKLM\SYSTEM\CurrentControlSet\Services\npggsvc\

      Forensic Cluster

         -14.0s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\

         -14.0s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\0npgl.erl

         -14.0s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\npgl.erl

         -14.0s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\1npgl.erl

         -12.3s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\GameGuard.ver

         -12.3s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\BnSNCW.ini

         -12.3s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\npgmup.des

         -12.2s C:\Program Files\Common Files\INCA Shared\OnlineEngine\

         -12.2s C:\Program Files\Common Files\INCA Shared\

         -8.5s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\GameMon.des

         -8.3s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\npgg9x.des

         -8.1s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\npggNT.des

         -8.0s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\npsc.des

         -7.9s C:\Windows\SysWOW64\nppt9x.vxd

         -7.8s C:\Windows\SysWOW64\npptNT2.sys

         -7.7s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\splash.jpg

         -6.3s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\ggscan.des

         -6.1s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\ggerror.des

         -5.9s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\npgmup.des.new

         -5.7s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\npggNT64.des

         -3.0s C:\Program Files (x86)\NCSOFT\BnS\bin\GameGuard\GameMon64.des

          0.0s C:\Windows\SysWOW64\GameMon.des

          1.5s C:\Users\Cem\Documents\BnS\

          1.5s C:\Users\Cem\Documents\BnS\NCWEST\

         22.4s C:\Users\Cem\Documents\BnS\NCWEST\ClientConfiguration.xml

         22.4s C:\Users\Cem\Pictures\BnS\

         22.4s C:\Users\Cem\Pictures\BnS\CharacterShot\

         22.4s C:\Users\Cem\Pictures\BnS\SummonedShot\

         22.4s C:\Users\Cem\Pictures\BnS\CharacterCustomize\

Zitat:

Zitat von burningice (Beitrag 1562226)

Bitte starte wieder FRST, setze den Haken bei Addition und drücke auf Untersuchen. Poste bitte wieder die beiden Textdateien, die so entstehen.

das brauche ich trotzdem noch :)

hxxp://www.trojaner-board.de/attachment.php?attachmentid=77598&stc=1&d=1455727138

Verwendest du Pywin32 bzw. eine Python Erweiterung für Windows auf deinem Computer?

Hast du noch irgendwelche Probleme mit deinem Rechner?

Zitat:

Zitat von burningice (Beitrag 1562693)

Verwendest du Pywin32 bzw. eine Python Erweiterung für Windows auf deinem Computer?

Hast du noch irgendwelche Probleme mit deinem Rechner?

Nein die beiden Sachen kenne ich noch gar nicht. :/

Ne sonnst habe ich keine Probleme am PC.

Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

FF SearchEngineOrder.1: Sichere Suche

FF SelectedSearchEngine: Sichere Suche

FF NetworkProxy: "type", 0

emptytemp:

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Schritt 2
Bitte starte wieder FRST, setze den Haken bei Addition und drücke auf Untersuchen. Poste bitte wieder die beiden Textdateien, die so entstehen.

Code:



Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version:17-02-2016

durchgeführt von Cem (2016-02-18 16:01:35) Run:1

Gestartet von C:\Users\Cem\Desktop

Geladene Profile: Cem (Verfügbare Profile: Cem)

Start-Modus: Normal

==============================================
 

fixlist Inhalt:

*****************

FF SearchEngineOrder.1: Sichere Suche

FF SelectedSearchEngine: Sichere Suche

FF NetworkProxy: "type", 0

emptytemp:

*****************
 

FF SearchEngineOrder.1: Sichere Suche => nicht gefunden

FF SelectedSearchEngine: Sichere Suche => nicht gefunden

Firefox Proxy-Einstellungen wurden zurückgesetzt

EmptyTemp: => 437.1 MB temporäre Dateien entfernt.
 
 

Das System musste neu gestartet werden.
 

==== Ende von Fixlog 16:01:44 ====